標籤:

NTFS 的許可權控制是掩耳盜鈴嗎?

01-09

Windows下NTFS文件系統里設置的訪問許可權,在Linux里直接被無視了。其他的文件系統有類似問題嗎?真正的許可權控制只能靠加密嗎?

文件系統許可權僅限於當前操作系統。

如果你裝了雙系統,比如兩個XP,或者一個XP一個Win7,那麼其中一個系統里的許可權在另一個系統里基本上是沒用的。

Linux也是一樣的,Linux也能裝多個系統,不同的Linux系統之間,許可權也可以直接跨過去。

也有在Windows下訪問ext文件系統的工具,這些工具同樣無視ext的許可權。

不知道你是否聽說過PE系統維護盤,這些東西可以通過設置U盤啟動的方式輕易繞過Windows密碼,獲得你硬碟上的各種數據,同樣,無視任何許可權。

文件系統許可權僅限於當前設置它的這個操作系統,文件系統也是依附於操作系統而存在的,脫離了當前的操作系統,文件系統的配置也就市區意義了。

類似的,你的數據保存在硬碟了,硬碟被人偷了的話,數據必然是要泄露的。

許可權(privilege):保證數據按照正確的等級、層次、次序進行讀寫。

數據安全(Data Security):這才是保證你數據不被泄露的東西。

保證數據安全,那是硬體或者加密軟體的任務,Windows還有bitlock之類的工具,許可權不等同於數據安全。

你說的那叫數據安全

許可權控制是在一個框架內部管理 連框架都沒有了 哪兒來的許可權控制

例如 公司倒閉了 難道老闆還管的了你

即使沒有許可權linux下的東西照樣可以在windows下讀出來

雖然LZ問的是一個比較小的問題,但是其實這個問題牽涉到我們對於安全的理解。怎樣的數據才能叫「安全」?

如果按照最高的安全等級來看,只要數據能夠被別人獲取,就可以認為這部分數據是不安全的。

但是矛盾就產生了,如果數據無法被合法的獲取,那這部分數據也失去了它的價值和存在的意義。所以目前大多數的安全系統在做的事情可以分為兩類,也就是@萬溢 和@魏秋傑 提到的:

  1. 確保獲取數據的身份是合法的
  2. 當第一點被突破之後,需要花比較大的代價(主要是指時間)才能理解這部分數據的含義

回到LZ的疑問,NTFS的文件許可權功能(其實準確的說,應該是NTFS文件系統提供的Access Control List (ACL)特性),它本身存在的意義,或者目的,僅僅是針對第一點,驗證操作者的身份,它不負責上述第二點,如果你想在Windows操作系統上做到第二點,可以使用Windows提供的BitLocker方案,或者其他第三方的安全解決方案。

當然,這個問題其實站的更高一些看,其實是數據擁有者和數據使用者之間身份交叉問題,而現實情況下我們又很難將這兩個身份完全分離,這才造成了各種安全風險。

扯遠一些,為什麼各大廠商都在說雲存儲,雲計算更安全?(實際情況當然另說了)其實說白了,因為這套體系下,你將只有對數據的使用權,而不再「真實擁有」這部分數據。從這點上,你「淪落」為數據的使用者,只能使用數據擁有者(各個雲存儲,雲計算服務提供商)讓你用的介面來訪問數據,數據操作的介面被精確限制當然一定程度上會提高數據的安全性。當然,美國的稜鏡,中國的GFW其實都在告訴我們,數據集中之後,對於管理(無論是否是處於正當的目的)的安全性其實會降低。

最終我們發現,數據的安全性其實是和數據的價值掛鉤的,如果你的數據價值足夠大,其實都是不安全的,因為再安全的系統都敵不過社會工程學。

知乎上你只能修改自己的答案,要是你能訪問知乎的資料庫的話可以修改任何人的答案。你能說知乎對你的限制是掩耳盜鈴?

如果文件是以明文存儲的,操作系統都不一樣了,當然不可能按照原操作系統的許可權進行保護。除非原文件系統格式本身是不公開的。這樣在另一個操作系統下根本讀不不了這塊盤。

要麼文件是加密的,文件在磁碟上以密文存在,要進行讀寫,必須通過原文件系統進行解密和許可權驗證。

要麼就是原文件系統和所有可能兼容該文件系統的文件系統共享一套許可權設置。

訪問許可權控制是在操作系統內部實現的,換了一個操作系統就沒任何限制了。你用Livecd來引導系統同樣可以無視原來linux系統下的訪問許可權。

你就想,人家要是把你硬碟拆了出來……

那哪個文件系統不是掩耳盜鈴……

磁碟用來保存文件,而是否用磁碟中的某些位來作為文件許可權則是看操作系統中文件系統模塊的具體編程方法了。就像中國人大立了個法,美國的司法機關不司這個法一樣。

貌似是挖坑 如果你有需要這種高級別的許可權控制的話請參考Active Directory Rights Management Services 概述

還有你說的那個某方面來說不是許可權問題 而是數據安全問題 最終及解決方案就是微軟自己的bitlocker全盤加密了

有這需求用EFS/bitlocker嘛,找人家NTFS什麼麻煩....

許可權限制的是當前系統下普通用戶。就比如說你是管理員,可以任意修改許可權,這不是系統的bug,而是feature。

所以需要優先解決物理設備安全問題

其實在原來的Windows下也是掩耳盜鈴哦,用另一個管理員賬戶取得所有權就可以隨便改許可權了

不是掩耳盜鈴,是你不理解。

推薦閱讀:

為什麼 FAT32 不支持 4GB 以上的文件?
Linux 文件系統與 Windows 文件系統的差異是什麼?
為什麼Linux說 Mac文件系統很垃圾,Mac未來的文件系統是什麼樣的呢?win8有新的文件系統么?
SSD 是否需要使用特別的文件系統?
如何理解SSD的寫放大?

TAG:MicrosoftWindows | 文件系統 | 安全 | 系統管理員 | NTFS |